Simon ✊
@simon_pnu
Sat Feb 27 09:10:14 +0000 2021

Vous avez raté le "buzz" autour de @LastPass hier qui laisserait fuiter vos données ?

Petit thread pour résumer la situation et vous partager quelques conseils pour protéger vos données personnelles, c'est parti !

(Spoiler alert : c'est moche) https://t.co/8KwwkE4rmd

Un chercheur allemand (Mike Kuketz) s'est basé sur l'analyse de l'application Android de LastPass faite par @ExodusPrivacy - qui y détecte 7 pisteurs - pour aller voir un peu plus en détails ce que fait fuiter l'application https://t.co/aAr1iw38zF

Dans les données envoyées, outre les données sur votre appareil (modèle, opérateur, etc.) on a le fameux Advertising ID mis en place par Google pour vous identifier (donnée personnelle donc).

On est à priori bien hors des clous côté RGPD donc (cc @NOYBeu @TetsuwanAstro)

L'histoire a fait un peu de bruit hier via sa couverture à l'international (par exemple https://t.co/rwA6ieTXhQ) surtout par la nature de l'application en question (un gestionnaire de mots de passe.

Mais attendez la défense de LastPass, elle va vous surprendre (ou pas).

Leur défense est assez affligeante, car on retrouve la bonne vieille stratégie du "On n'envoie que des données anonymisées" et "Vous pouvez désactiver tout ça".

La première étant fausse (prouvé par notre ami chercheur cité plus haut), la seconde clairement non suffisante. https://t.co/47odSgJAQb

Un point intéressant aussi c'est que LastPass est une solution que de nombreuses personnes payent https://t.co/xG53sbVAO7 (ayant récemment limité son offre gratuite d'ailleurs).

On n'est même plus dans le dicton "Si c'est gratuit c'est que vous êtes le produit"

Bon, maintenant qu'on sait tout ça, qu'est-ce qu'on fait ?

1) Utilisez les rapports d'εxodus pour voir ce qui se cache sous vos applications préférées 🍰

2) Globalement, les meilleurs conseils sont listés par @ExodusPrivacy sur cette page : https://t.co/Tlt1lXi2qP

Les journaux comme @TheRegister ont justement utilisé εxodus pour comparer les différentes applications de gestion de mots de passe, pour voir les plus "propres". On retrouve sans surprise Keepass ainsi que Bitwarden (à télécharger depuis F-Droid pour éviter les pisteurs Google).

Pour terminer : @01net, merci pour la couverture (une des rares dans la presse française pour le moment) mais la notation "les chercheurs d'Exodus Privacy" m'interpelle un peu.

1) on n'a pas le statut
2) les personnes membres d'@ExodusPrivacy ne sont pas toutes des hommes 😉

Enfin, je trouve cette utilisation des rapports d'εxodus très intéressante.

La présence de nombreux pisteurs dans @LastPass était connue depuis longtemps. Mais c'est quand le grand public prend le sujet en main que les choses peuvent changer ! https://t.co/uwUK4TqVe1

Sat Feb 27 09:10:24 +0000 2021